我想取得有關雲端 IRAP 的資訊

 

 

AWS IRAP 合規

保護澳大利亞政府的資料不被存取、濫用和公開,一直是採購和利用雲端服務的最主要考量。AWS 了解客戶倚賴 AWS 基礎設施提供的安全交付功能,以及擁有讓客戶建立更安全環境之功能的重要性。AWS 讓客戶達到這些目標的方式是透過建立穩固的控制環境來設定交付服務的安全優先順序,並提供各種安全服務和功能供客戶使用。這些服務為客戶 IT 控制環境提供全面的控制權、簡化安全服務的管理,以及為澳洲政府提供改進的安全成果。

資訊安全註冊評估機構計劃 (IRAP) 可讓澳大利亞政府客戶驗證已設定適當的管制,並判斷解決澳大利亞通訊局 (ASD) 資訊安全手冊 (ISM) 需求的適當責任模式。

獨立的 IRAP 評估機構檢驗對 AWS 人員、程序和技術的管制,以確保它們可因應 ISM 的需求。認證機構以這份評估和合規證明作為保證依據以認證 AWS 基礎設施,同時為鑑定機構提供平台正確用法的建議。

機構鑑定是 IRAP 評估的最高階段,也是澳大利亞政府認證機構 ASD 的正式認證。這份認證保證 AWS 已設定 ASD ISM 的適當管制,而且它是為澳大利亞政府工作負載鑑定 AWS 的直接前導。

這個認證將會卸除個別機構或其商業合作夥伴評估和認證雲端平台的工作重擔,讓他們能夠專注於其系統的鑑定流程。



AWS 為客戶提供各種安全功能,依據 ASD ISM 管制、機構準則和政策來保護他們的資料。我們會持續更新提供給客戶的安全工具,並針對現有安全功能定期發行增強功能。此外,我們還為客戶提供各種白皮書、線上文件和講述安全性的影片。我們的全球白皮書提供保護資料的建議,同樣適用於澳大利亞政府 AWS 工作負載。

IRAP AWS 雲端

如何使用 AWS IRAP 安全文件和準則?

澳大利亞政府客戶可以利用我們的 ASD 認證和獨立的 IRAP 評估機構合規證明,來加速他們的認證和鑑定目標。

為支援澳大利亞政府客戶,我們提供安全準則和文件的套件,以加深其對於使用 AWS 做為認證的雲端服務供應商的安全和合規概念。 

特別是 IRAP 依據 ISM 評估 AWS 基礎設施的具體事項,我們將其置於 NDA 下 (如要求) 以提供給政府組織或其合作夥伴:

–          有關 AWS 之 ISM 合規的 IRAP 報告

–          AWS 基礎設施平台的 ASD 認證證明

–          IRAP ISM 合規證明

–          管制實作摘要

用於評估和測試 AWS 基礎設施實作之控制的其他報告可在 NDA 下 (如要求) 取得:

–          服務組織控制 1 (SOC1) Type II 報告

–          服務組織控制 2 (SOC2) Type II 報告

–          ISO 27001 憑證與適用性聲明

–          PCI 合規聲明文件與 PCI 責任摘要

有關其他報告的詳細資訊,請參閱 AWS 合規常見問答集

當 AWS 安全文件與澳大利亞政府客戶或與澳大利亞政府有業務往來的承包商有關時,若要請求其存取權,請聯絡 AWS 銷售和業務開發部門或傳送電子郵件至 awscompliance@amazon.com

     

IRAP 評估機構是唯一被認可有資格依循澳大利亞政府 ISM 來評估 ICT 系統的機構,它說明了合規和非合規的領域、描述剩餘的風險和修復動作,並建議可進行認證的認證機構。

IRAP 評估

已公開提供下列文件:

使用 AWS Artifact (隨需存取 AWS 合規報告的自助服務入口網站) 可將控制實作摘要IRAP 報告階段 2 提供給客戶。立即開始使用 AWS Artifact。

是,自 2015 年 3 月 31 日起,AWS 已成為專門小組的成員。機構可獲得物超所值的雲端服務,透過預先經過評估的供應商及一般的合約架構簡化採購程序。這讓採購程序更加便利,讓機構能夠根據自己任務的步調進行,有效地將服務提供給澳大利亞公民。

ISM 是澳大利亞政府資訊安全手冊 (ISM),由隸屬於澳大利亞國防部的澳大利亞通訊局 (ASD) 發佈,該局的任務是保護澳大利亞政府的系統和資訊。 

如需 ASD 在保護澳大利亞資訊安全性上扮演角色的詳細資訊,請參閱 http://www.asd.gov.au/about/roleinfosec.htm

     

是,AWS 已通過來自資訊安全註冊評估機構計劃之獨立評估機構的稽核。這項評估檢驗對 Amazon 人員、程序和技術的安全管制,確保它們符合 ASD 2014 ISM 的要求。

您可以在合規計劃的 AWS 服務範圍找到已經涵蓋在 IRAP 評估範圍內的 AWS 服務。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣,請聯絡我們

否,沒有任何區域的服務成本會因 AWS 的 ISM 合規而增加。

是,AWS 已取得做為認證機構的澳大利亞通訊局 (ASD) 非機密 DLM (UD) 工作負載的認證,而且是 ASD 認證雲端服務清單 (CCSL) 任職成員。

當倚賴 ASD 的高度專業知識做為認證機構來判斷充分了解服務的剩餘風險並適當評估時,可大幅降低機構的成本和風險。這樣一來,澳大利亞政府部門可以看到安全性顯著提升的結果,同時減少進行這類評估的成本。

2014 年 10 月,澳大利亞財政部和通訊部共同發佈澳大利亞政府雲端運算政策 (Australian Government Cloud Computing Policy) 3.0,其中推動聯邦政府機採用雲端服務的「雲端至上」方法。

 根據澳洲政府的雲端政策,現在只要適合其目的,政府機構將必須採用雲端,提供足夠的資料保護並達到物有所值

ISM 是管理政府的資訊和通訊技術 (ICT) 系統安全性的標準。它補充了澳大利亞政府司法部發佈的保護安全政策框架 (PSPF)。這兩者結合為實作適當管制來操作 ICT 環境中所有工作負載分類提供了一份指導手冊。

 它符合 ISM 合規,用來評估雲端服務供應商加入 ASD 認證雲端服務清單的成員資格,這份清單提供以 ASD 做為認證機構的雲端服務清單。機構需要有認證才能讓認可的工作負載在雲端服務上執行,這些雲端服務透過整體政府雲端服務專案小組財政部採購,做為澳大利亞政府雲端服務的主要採購媒介。

     
他們是澳大利亞通訊局 (ASD) 依循資訊安全註冊評估機構計劃認可的個人,經過適當的資格鑑定,可以根據 ASD 的資訊安全手冊 (ISM) 的管制框架來進行評估。      

IRAP 評估和 ASD 認證涵蓋 AWS 雪梨區域。不過,AWS 平等對待所有區域的操作管制、政策和程序。機構應該評估其工作負載和業務需要,以判斷要使用的 AWS 區域。

可以,客戶可以評估其工作負載是否適合使用其他 AWS 服務。如需安全控制和風險接受度考量的詳盡討論,請聯絡 AWS 銷售和業務開發部門      

 

聯絡我們